Báo động nền tảng website WordPress bị hacker tấn công lừa đảo

Vượt qua cơ chế bảo vệ của Wordfence (“tường lửa” của WordPress), các hacker sẽ lợi dụng tấn công thay đổi giao diện, chuyển hướng người dùng tới các website độc hại để tiến hành lừa đảo.


Báo động nền tảng website WordPress bị hacker tấn công lừa đảo

Nền tảng WordPress được sử dụng phổ biến tại Việt Nam


Cuối tháng 3/2019, thông tin plugin (thành phần mở rộng được cài đặt  thêm) có tên “Yuzo Related Posts” được cài trên hơn 60.000 website đã bị xóa bỏ khỏi thư viện plugin của Wordpress.org sau khi chứa lỗ hổng không có bản vá và được tiết lộ bởi một nhà nghiên cứu về bảo mật đã gây xôn xao trong cộng đồng công nghệ.


Về bản chất, lỗ hổng này cho phép thực hiện tấn công dạng Stored-XSS và hiện đang bị lợi dụng để tấn công các website sử dụng nền tảng WordPress có cài đặt plugin.


Với việc sử dụng lỗ hổng này, các cuộc tấn công có thể vượt qua cơ chế bảo vệ của Wordfence (“tường lửa” của WordPress) khiến một kẻ tấn công không cần quyền xác thực cũng có thể chèn các nội dung độc hại, ví dụ như một đoạn mã Javascript vào trong cấu hình của plugin.


Lỗ hổng này có thể lợi dụng để tấn công thay đổi giao diện để lừa đảo người dùng.


11 ngày sau khi lỗ hổng bị phát hiện, các hacker đã tuyên bố bắt đầu khai thác các trang web có cài đặt “Yuzo Related Posts”.


Khi người dùng truy cập website đã bị khai thác, đoạn mã javascript từ máy chủ hellofromhony.com sẽ chuyển hướng họ tới các website lừa đảo hoặc chứa mã độc.






Phân tích của SecurityBox cho thấy hình thức tấn công này có nhiều điểm tương đồng với tấn công dựa vào 2 lỗ hổng được phát hiện trước đó có tên là Social Warfare và Easy WP SMTP (mã độc cùng được lưu trữ trên máy chủ hellofromhony.org có địa chỉ IP 176.123.9[.]53).


Cả 3 cuộc tấn công đều sử dụng lỗ hổng Stored-XSS và chuyển hướng người dùng tới các website độc hại để tiến hành lừa đảo.


Do đó, kỹ thuật tấn công và quy trình khai thác cho cả 3 lỗ hổng này khả năng rất lớn đều do một tin tặc gây ra.


Trước thực trạng đáng lo ngại trên, phía SecurityBox khuyến cáo chủ sở hữu các trang web cài đặt plugin Yuzo Related Posts phải gỡ bỏ ngay lập tức cho đến khi có bản vá sửa lỗi chính thức.


Với các khách hàng sử dụng bản miễn phí, do thời gian chờ đợi bản cập nhật là 30 ngày nên việc gỡ bỏ ra khỏi website sẽ tránh được rủi ro bị tấn công.


Hiện tất cả các sản phẩm của SecurityBox cung cấp đều đã được tích hợp thêm thông tin về lỗ hồng Yuzo Related để đảm bảo an toàn, an ninh hệ thống của khách hàng. Trường hợp các đơn vị cần hỗ trợ về bảo mật Yuzo Related có thể liên hệ trực tiếp với SecurityBox để được hướng dẫn cụ thể.









Bao dong nen tang website WordPress bi hacker tan cong lua dao


Vuot qua co che bao ve cua Wordfence (“tuong lua” cua WordPress), cac hacker se loi dung tan cong thay doi giao dien, chuyen huong nguoi dung toi cac website doc hai de tien hanh lua dao.


Bao dong nen tang website WordPress bi hacker tan cong lua dao

Nen tang WordPress duoc su dung pho bien tai Viet Nam


Cuoi thang 3/2019, thong tin plugin (thanh phan mo rong duoc cai dat  them) co ten “Yuzo Related Posts” duoc cai tren hon 60.000 website da bi xoa bo khoi thu vien plugin cua Wordpress.org sau khi chua lo hong khong co ban va va duoc tiet lo boi mot nha nghien cuu ve bao mat da gay xon xao trong cong dong cong nghe.


Ve ban chat, lo hong nay cho phep thuc hien tan cong dang Stored-XSS va hien dang bi loi dung de tan cong cac website su dung nen tang WordPress co cai dat plugin.


Voi viec su dung lo hong nay, cac cuoc tan cong co the vuot qua co che bao ve cua Wordfence (“tuong lua” cua WordPress) khien mot ke tan cong khong can quyen xac thuc cung co the chen cac noi dung doc hai, vi du nhu mot doan ma Javascript vao trong cau hinh cua plugin.


Lo hong nay co the loi dung de tan cong thay doi giao dien de lua dao nguoi dung.


11 ngay sau khi lo hong bi phat hien, cac hacker da tuyen bo bat dau khai thac cac trang web co cai dat “Yuzo Related Posts”.


Khi nguoi dung truy cap website da bi khai thac, doan ma javascript tu may chu hellofromhony.com se chuyen huong ho toi cac website lua dao hoac chua ma doc.






Phan tich cua SecurityBox cho thay hinh thuc tan cong nay co nhieu diem tuong dong voi tan cong dua vao 2 lo hong duoc phat hien truoc do co ten la Social Warfare va Easy WP SMTP (ma doc cung duoc luu tru tren may chu hellofromhony.org co dia chi IP 176.123.9[.]53).


Ca 3 cuoc tan cong deu su dung lo hong Stored-XSS va chuyen huong nguoi dung toi cac website doc hai de tien hanh lua dao.


Do do, ky thuat tan cong va quy trinh khai thac cho ca 3 lo hong nay kha nang rat lon deu do mot tin tac gay ra.


Truoc thuc trang dang lo ngai tren, phia SecurityBox khuyen cao chu so huu cac trang web cai dat plugin Yuzo Related Posts phai go bo ngay lap tuc cho den khi co ban va sua loi chinh thuc.


Voi cac khach hang su dung ban mien phi, do thoi gian cho doi ban cap nhat la 30 ngay nen viec go bo ra khoi website se tranh duoc rui ro bi tan cong.


Hien tat ca cac san pham cua SecurityBox cung cap deu da duoc tich hop them thong tin ve lo hong Yuzo Related de dam bao an toan, an ninh he thong cua khach hang. Truong hop cac don vi can ho tro ve bao mat Yuzo Related co the lien he truc tiep voi SecurityBox de duoc huong dan cu the.


Báo động nền tảng website WordPress bị hacker tấn công lừa đảo

Vượt qua cơ chế bảo vệ của Wordfence (“tường lửa” của WordPress), các hacker sẽ lợi dụng tấn công thay đổi giao diện, chuyển hướng người dùng tới các website độc hại để tiến hành lừa đảo.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá: